Remote Desktop Gateway

[Sakha]

Прошу добавить функционал клиента поддержки Remote Desktop Gateway

[aka]

Расскажи, чем он лучше VPN?

[flameflower]

Расскажи, чем он лучше VPN?

Можно я за автора немного накидаю?
Во-первых, быстрее чем VPN за счет меньшего количества инкапсуляций и более адекватная работа в случае потерь пакетов.
Во-вторых, не всегда и не везде пролезают эти самые VPN. Особенно в свете повсеместного использования NAT из-за дефицита IPv4. Да и как там пользовательские роутеры дома настроены тоже неведомо.

[aka]

Да и как там пользовательские роутеры дома настроены тоже неведомо.

Втварь используют у пользователя дома за неведомо как настроенным роутером?

[akaplenko]

Втварь используют у пользователя дома за неведомо как настроенным роутером?

Даже если так, то я не понимаю чем это мешает VPN? Я сейчас за двумя своими роутерами и за nat провайдера и все работает.

Другое дело, что vpn тоже у всех стали модные типа фортиклиента и этот вопрос там так же не решается.

[flameflower]

Да и как там пользовательские роутеры дома настроены тоже неведомо.

Втварь используют у пользователя дома за неведомо как настроенным роутером?

В таком ключе я у себя не использую, но допускаю, что кто-то может.
OpenVPN же, вроде бы, притащили в состав?

[flameflower]

Втварь используют у пользователя дома за неведомо как настроенным роутером?

Даже если так, то я не понимаю чем это мешает VPN? Я сейчас за двумя своими роутерами и за nat провайдера и все работает.

Другое дело, что vpn тоже у всех стали модные типа фортиклиента и этот вопрос там так же не решается.

Я с интересом выслушаю как бы ты решил ситуацию, когда пользователей провайдер занатил за один адрес, которые используют один и тот же тип подключения (L2TP+IpSec).
Возможно, для крупных городов это не проблема, но если у тебя на город 3–4 оператора и каждый делает NAT есть возможность нарваться на подобное поведение.

[aka]

Не понимаю проблему. В втвари есть OpenVPN и Wireguard, они оба пролазят через NAT, если только провайдер специально не мешает. Я только через Мегафон пробовал,у меня всё обе VPN работали. В какой конфигурации VPN не работает, а Remote Desktop Gateway работает?

[akaplenko]

Втварь используют у пользователя дома за неведомо как настроенным роутером?

Даже если так, то я не понимаю чем это мешает VPN? Я сейчас за двумя своими роутерами и за nat провайдера и все работает.

Другое дело, что vpn тоже у всех стали модные типа фортиклиента и этот вопрос там так же не решается.

Я с интересом выслушаю как бы ты решил ситуацию, когда пользователей провайдер занатил за один адрес, которые используют один и тот же тип подключения (L2TP+IpSec).
Возможно, для крупных городов это не проблема, но если у тебя на город 3–4 оператора и каждый делает NAT есть возможность нарваться на подобное поведение.

У меня дома я за NAT провайдера и за NAT роутера. Без проблем подключен к VPN с телефона, ноута и пары компов одновременно. Что я делаю не так?

[AndreyEver]

При использовании RGW есть возможность "прозрачно" направлять клиентов (пользователей) на разные ТС без танцев с бубнами. У каждого клиента (пользователя) один набор настроек (файл подключения). А в зависимости от предоставленных креденшиалсов (авторизации на RGW в домене/доменах) клиенты подключается к разным ТС. Те один порт, одни настройки.
+1 к поддержке фичи

[Python_Kaa]

Не хочется обижать многоуважаемого AKA, но wtware - это тонкий клиент для бедных. Я восхищаюсь и автором, и продуктом, но тем не менее.

Если есть возможность развернуть много терминальных серверов (мы же говорим про честный софт же?) и народу столько, что нужен (не хочется, а нужен) один комплект настроек и при этом vpn невозможен (например, в силу количества людей и качества пользователей), то есть смысл задружить с Microsoft или каким-нибудь Dell, чтобы они поставляли нужный софт или даже вместе с оборудованием. Да, это будет стоить денег, но вполне решаемо

[flameflower]

Даже если так, то я не понимаю чем это мешает VPN? Я сейчас за двумя своими роутерами и за nat провайдера и все работает.

Другое дело, что vpn тоже у всех стали модные типа фортиклиента и этот вопрос там так же не решается.

Я с интересом выслушаю как бы ты решил ситуацию, когда пользователей провайдер занатил за один адрес, которые используют один и тот же тип подключения (L2TP+IpSec).
Возможно, для крупных городов это не проблема, но если у тебя на город 3–4 оператора и каждый делает NAT есть возможность нарваться на подобное поведение.

У меня дома я за NAT провайдера и за NAT роутера. Без проблем подключен к VPN с телефона, ноута и пары компов одновременно. Что я делаю не так?

Невнимательно читаешь.

[flameflower]

Не понимаю проблему. В втвари есть OpenVPN и Wireguard, они оба пролазят через NAT, если только провайдер специально не мешает. Я только через Мегафон пробовал,у меня всё обе VPN работали. В какой конфигурации VPN не работает, а Remote Desktop Gateway работает?

Когда попадешь в NAT на 1 внешний адрес от двух L2TP клиентов с IPSec(по умолчанию включено).
Один пролезет, второй нет (Можно почитать про IpSec ALG).
Вопрос в том зачем городить VPN, если есть, на мой взгляд, более удобный вариант решения этой проблемы.
Опять-таки чуть выше написали про другой кейс использования шлюза удаленных рабочих столов.

[alfes]

Прошу добавить функционал клиента поддержки Remote Desktop Gateway

За Вами постаю, пните пожалуйста если гром грянет и допилят этот функционал. Необходим безумно. Согласен с Вами ВПН для 100500 пользователей дома с говнороутерами и NATом не вариант.

Расскажи, чем он лучше VPN?

Уважаемый AKA, есть ли на сегодняшний день предпосылки к внедрению этого функционала? Будет ли он реализован?, если нет, что нужно для того что бы данный функционал судя по просьбам на форуме был все-таки реализован?

[aka]

Будет реализован. Ну, некоторые из них. Я насчитал четыре (4) разных, совсем разных протокола Remote Desktop Gateway. Вот бы узнать, что используется на практике.

Простой вопрос: у вас оно поверх HTTP или поверх HTTPS?

Если HTTPS, то ещё интересно было бы узнать, используется ли websocket, но это наверное только опытным путем можно проверить.

[alfes]

Будет реализован. Ну, некоторые из них. Я насчитал четыре (4) разных, совсем разных протокола Remote Desktop Gateway. Вот бы узнать, что используется на практике.

Простой вопрос: у вас оно поверх HTTP или поверх HTTPS?

Если HTTPS, то ещё интересно было бы узнать, используется ли websocket, но это наверное только опытным путем можно проверить.

Доброго, в данный момент ходит по http. А вообще и так и сяк было бы желательно. Читал в факе майкрософт что websocket используется.

[aka]

По http - это два старых варианта, с самодельными шифрованиями и RPC внутри. Точно http? На https не переключается? Не хочу делать старые варианты.

websocket может использоваться поверх https, тогда устанавливается одно https соединение. Или не использоваться, тогда устанавливается два https соединения.

[alfes]

По http - это два старых варианта, с самодельными шифрованиями и RPC внутри. Точно http? На https не переключается? Не хочу делать старые варианты.

websocket может использоваться поверх https, тогда устанавливается одно https соединение. Или не использоваться, тогда устанавливается два https соединения.

Доброго времени суток, AKA. В данном случаи вот так.
https://ibb.co/DDRn8S4 - картинка . Но это не панацея, нет проблем и на https перевести. Но как мне видится хорошо бы сделать и на http и на https. Т.е. два варианта, но это лишь мое пожелание. Забегая вперед думаю вопросов по этому поводу возникать будет меньше.
З.Ы. Картинку не смог вставить через img

[flameflower]

HTTP вроде как похоронен или уже совсем старый.
У себя используем HTTPS (WinServ 2019).
Клиенты от Windows 7 до Windows 11. Если требуется что-то посмотреть\пописать могу посодействовать.

[mr_brain1979]

Тоже очень жду функционал RDGW... уже во второй конторе внедряю, и, прям вот очень не хватает.

[master_new]

Добрый день: вот эта фишка жизненно важная...
При использовании RGW есть возможность "прозрачно" направлять клиентов (пользователей) на разные ТС без танцев с бубнами. У каждого клиента (пользователя) один набор настроек (файл подключения). А в зависимости от предоставленных креденшиалсов (авторизации на RGW в домене/доменах) клиенты подключается к разным ТС. Те один порт, одни настройки.

Очень нужно. у нас уже больше 10 терминальных серверов и очень тяжело пользователей привязывать к определённому серверу...

[trest96]

RDG сильно надо

[alfes]

Да, сидим и ждем, уже дооолго ждем. Надо что бы просьба имела свою "выдержку"... Я периодически мониторю, много тем уже видел на форуме, но по какой-то причине пока не реализовали.

[Егор]

Мы тоже ждем давно, вот в версии 6.2.2. уже появилась вкладка rd_gateway и указано, что RDG будет сделано в следующей версии.

[aka]

В последней версии RD Gateway (раньше было ещё три варианта, таких же некрасивых) устанавливается TCP соединение, поверх него запускается SSL, получается HTTPS.

Дальше внутри HTTPS организуется обмен данными через WebSocket.

Дальше внутри WebSocket запускается ещё один SSL. Получается SSL в SSL.

И только поверх всего этого бутерброда запускается RDP.

В RDP есть красивые решения и не очень, то SSL поверх SSL это по-моему за гранью допустимой кривизны. Я отказываюсь это писать.

В втвари будет два RDP клиента: наш и freerdp. Наш будет быстро рисовать (и радовать меня красотой внутренней архитектуры), а freerdp будет для тех, кому надо чтобы работало как они настроили, и такие мелочи как производительность им не важны.

Может даже в этом году поедет. На стенде оно уже едет, но до выпуска ещё много обтачивания напильником...

[pkt]

Добрый день. Все еще не работает ? Может есть какая-то инфа по приблизительным срокам?

[aka]

Не работает. Ну как. На стенде работает, но выкладывать это не хочу. Нет инфы по срокам. Не могу придумать, как сделать красиво.

[d.tryakin]

Добрый день.

+ нам очень нужна эта функция.

У нас уже порядка 1000 пользователей, и соответсвенно куплено почти столько же лицензий.

Мы сейчас будем делать для всех перемещаемые профили. И хотим иметь 1 точку входа для человека.

Т.е будет набор серверов вин22 и уже кластер будет рулить на какой сервер ему залететать.

Сейчас к сожалению именно это не можем реализовать и проект встал.

[aka]

Я по-прежнему не могу назвать никаких сроков. Меня тошнит от упаковки RDP во второй слой SSL (поверх первого, который там всегда есть) и в WebSocket. Может, пока я туплю, случится чудо и майкрософты сделают пятую версию TS/RD Gateway безо всей этой дури...

Не могу упустить случая и настойчиво порекомендовать НЕ использовать RD Gateway везде, где можно обойтись без него. Это не просто галочка в настройках. Это радикальное усложнение протокола, которое не может не тянуть за собой дополнительные тормоза и новые причины обрывов.

[Suleyman]

Я по-прежнему не могу назвать никаких сроков. Меня тошнит от упаковки RDP во второй слой SSL (поверх первого, который там всегда есть) и в WebSocket. Может, пока я туплю, случится чудо и майкрософты сделают пятую версию TS/RD Gateway безо всей этой дури...

Не могу упустить случая и настойчиво порекомендовать НЕ использовать RD Gateway везде, где можно обойтись без него. Это не просто галочка в настройках. Это радикальное усложнение протокола, которое не может не тянуть за собой дополнительные тормоза и новые причины обрывов.

Андрей Здравствуйте, в связи с последними событиями по блокировке протоколов vpn очень необходим шлюз, у нас заблокировали все кроме sstp, а с данный протоколом связь очень не стабильна, пинги ужасно скачут, в общем шлюз будет лучшим решением в данной ситуации, если еще и sstp падет то все встанет, очень прошу уделить время на шлюз

[aka]

...в общем шлюз будет лучшим решением в данной ситуации, если еще и sstp падет то все встанет, очень прошу уделить время на шлюз

Здесь очень не хватает текста: "у нас работает 100500 стационарных рабочих мест на windows через RD Gateway из тех же офисов, куда заблочили VPN, через RD Gateway всё стабильно работает ни одного отвала на 100500 человек"

SSTP заворачивает трафик в HTTPS с SSL.

RD Gateway актуальной сечас версии заворачивает трафик в тот же HTTPS с SSL, и вдобавок к этому ещё в WebSocket.

Не представляю, с чего RDG быть надёжнее SSTP.

[Suleyman]

...в общем шлюз будет лучшим решением в данной ситуации, если еще и sstp падет то все встанет, очень прошу уделить время на шлюз

Здесь очень не хватает текста: "у нас работает 100500 стационарных рабочих мест на windows через RD Gateway из тех же офисов, куда заблочили VPN, через RD Gateway всё стабильно работает ни одного отвала на 100500 человек"

SSTP заворачивает трафик в HTTPS с SSL.

RD Gateway актуальной сечас версии заворачивает трафик в тот же HTTPS с SSL, и вдобавок к этому ещё в WebSocket.

Не представляю, с чего RDG быть надёжнее SSTP.

Проблема в том что SSTP очень не стабилен и так до конечного сервера 100мс, а через sstp он скачет до 260 мс, работать невозможно, через шлюз таких задержек нет, да и не известно до каких пор sstp будет работать, доказывать что rdg лучше и тд не собираюсь, работал бы pptp не сдался бы шлюз, но ситуация требует

[aka]

через шлюз таких задержек нет,

Как ты измеряешь задержки через шлюз?

[Suleyman]

через шлюз таких задержек нет,

Как ты измеряешь задержки через шлюз?

Зрительно тыкательным путем и на основе отзывов пользователей у которых так все тормозит, а вот так нормально

[Suleyman]

Волнуют больше не задержки, а то что нам заблочили сначала wireguard, потом l2tp, затем OVPn, за ним еще и несчастный PPPTP, остался sstp, боюсь как бы и его не урезали